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1 

Toetsmodel PIA 
Rijksdienst 

Gegevensrelatie SVB - Jeugdige 

2 

Onder 

deel 

# 

Toetsvraag 

Jeugdwet 

Risico's 

Opmerkingen bij huidige gang van zaken 

3 

I 


Basisinformatie: type persoonsgegevens, type verwerking en noodzaak/ gegevensminimalisering 

4 


1 

Wilt u als 

verantwoordelijke 
persoonsgegevens gaan 

gebruiken voor de 
verwerking die u 

voorziet? 

Zo ja, van welk type? 

De SVB (het SVB Servicecentrum PGB (SSP)) wil als 
verantwoordelijke de regeling voor PGB 
trekkingsrechten gaan uitvoeren op grond van 
artikel 8.1.8 van de Jeugdwet. In de relatie met de 
gemeente is het pgb het bedrag waaruit namens 
het college betalingen worden gedaan voor 
jeugdhulp die tot de individuele voorziening 
behoort en die een jeugdige of zijn ouders van 
derden heeft/hebben betrokken (artikel 8.1.1 
Jeugdwet). De SVB gaat daarvoor 
persoonsgegevens van de cliënt (persoon aan wie 
het pgb is verstrekt) verwerken. Deze 
persoonsgegevens inclusief het BSN krijgt SSP van 
(de Stichting Inlichtingen Bureau namens) de 
gemeente waar de cliënt woont. 

De zorginhoudelijke gegevens die aan het PGB ten 
grondslag liggen behoren niet aan de SVB te 
worden verstrekt. De vraag is of het aan de SVB 
gegeven inzicht in de aanwendingsrichting van het 
budget niet het risico oplevert dat SVB toch 
bijzondere persoonsgegevens met een 
zorginhoudelijk karakter verwerkt. Alles wat bij de 
verwerking door de SVB verder gaat dan de 
uitvoering van het louter financiële budgetplan dat 
bij het pgb behoort, is bovenmatig. 

De gemeente stelt bij verordening de regels vast op welke 
wijze de hoogte van een pgb wordt vastgesteld (art. 2.9 
Jeugdwet). In de verordening worden ook regels gesteld 
voor de bestrijding van het ten onrechte ontvangen van 
een persoonsgebonden budget, alsmede van misbruik of 
oneigenlijk gebruik van de Jeugdwet (art. 2.9 Jeugdwet). 
Artikel 8.1.1 van de Jeugdwet geeft aan onder welke 
voorwaarden en procedures een pgb aan een jeugdige of 
zijn ouders kan worden toegekend. Artikel 8.1.4 Jeugdwet 
geeft aan wanneer de toekenning kan worden 
ingetrokken. In artikel 8.1.8 Jeugdwet is bepaald dat de 

SVB namens de colleges van de gemeenten de betalingen 
ten laste van verstrekte persoonsgebonden budgetten 
uitvoert (het trekkingsrechtensysteem). Anders dan in de 
WMO 2015 en de WLZ wordt hierbij niet gesproken over 
het budgetbeheer als onderdeel van het 
trekkingsrechtensysteem en is evenmin - zoals in de WMO 
2015 - voorzien in de mogelijkheid om bij of krachtens 
algemene maatregel van bestuur regels te kunnen stellen 
over de wijze waarop de Sociale Verzekeringsbank deze 
taak uitvoert). NB: verwijzingen naar de WMO zoals in art. 
2.10 Jeugdwet moeten nog worden aangepast door 
toevoeging van 2015 door middel van een 

Aanpassingswet. 

De Jeugdwet vermeldt weliswaar dat de SVB betalingen tlv 
verstrekte pgb's uitvoert, maar niet welke 
persoonsgegevens bij die verwerking gebruikt mogen 
worden. Evenmin wordt de SVB als verantwoordelijke voor 
de verwerking aangewezen, zoals wel gebeurd is in de 
WMO (art. 4.1.4 lid 2). 
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2 

Andere specifieke 
persoonsgegevens? 

Nee 

VER 

TROUWELIJK 
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2a 

Is het de bedoeling om 
gegevens over de 
financiële of 

economische situatie 
van betrokkenen, of 
andere gegevens die 
kunnen leiden tot 
stigmatisering of 
uitsluiting te 

verwerken? 

Nee 



7 

2b 

Is het de bedoeling om 
gegevens over 
kwetsbare groepen of 
personen te 

verwerken? 

De toelichting hier op in het PIA model Rijksdienst 
luidt: hieronder vallen bijvoorbeeld minderjarigen, 
verstandelijk gehandicapten, mensen die te maken 
hebben met stalking, klokkenluiders of 
informanten voor politie of het OM. Dit is geen 
limitatieve opsomming, dus gezien het feit dat het 
bij de pgb gaat om groepen personen, die zorg en/ 
of begeleiding behoeven, kan gesteld worden dat 
dit een kwetsbare groep personen is. 

Het risico bestaat dat er gegevens worden 
verwerkt, waarin de kwetsbaarheid van de 
jeugdige of zijn ouders ruimere bekendheid krijgt 
dan nodig is. 

Dit aspect pleit ervoor de gegevensuitwisseling in de 
verhouding SVB - jeugdige zo sober mogelijk te houden. 

8 

2c 

Is het de bedoeling 
gebruikersnamen, 

wachtwoorden en 
andere inloggegevens 

te verwerken? 

De Jeugdwet laat ruimte voor de SVB om de 
jeugdige of zijn ouders toe te laten tot een 

MijnPgb. 

Door onzorgvuldig beheer van gebruikersnamen, 
wachtwoorden en andere inloggegevens bestaat 
het risico dat ongeautoriseerde toegang tot 
persoonsgegevens wordt verkregen. 

Het risico kan hier worden beperkt door de informatie 
over de rekening courant positie schriftelijk uit te wisselen 
of via de mail. 

9 

2d 

Is het de bedoeling om 
uniek identificerende 
gegevens, zoals 
biometrische gegevens, 

te 

verwerken? 

Nee, dit is niet de bedoeling. 




VERTROUWELIJK 
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2e 

Is het de bedoeling om 
het BSN-nummer, of 
een ander 

persoonsgebonden 

nummer te 

verwerken? 

Artikel 7.2.1 Jeugdwet 

1. De gecertificeerde instelling, de 
jeugdhulpaanbieder, de raad voor de 
kinderbescherming en het college gebruiken het 
burgerservicenummer van een jeugdige met het 
doel te waarborgen dat de in het kader van de 
uitvoering van deze wet en de daarop berustende 
bepalingen te verwerken persoonsgegevens op die 
jeugdige betrekking hebben. 

enz. 

Het wetsvoorstel regelt dat ook aanbieders de 
beschikking krijgen over het BSN van de 
betrokkene. De beschikbaarheid van het bsn stelt 
organisaties in staat betrokkenen uniek te 
identificeren en om gegevens uit verschillende 
databanken te koppelen. Het risico bestaat dat in 
de praktijk het gebruik van het BSN buiten 
wettelijke kaders gaat plaatsvinden. 

De SVB wordt niet genoemd in artikel 7.2.1 Jeugdwet 
terwijl het wel de bedoeling is dat de SVB in de 
onderhavige uitwisselingsrelatie het bsn gaat gebruiken. 

Het verdient aanbeveling (bijv. via de nog in te dienen 
Aanpassingswet) een daartoe strekkende bepaling in de 
Jeugdwet op te nemen alsmede een delegatievoorziening 
vergelijkbaar met artikel 2.6.2, tweede lid WMO 2015. 

Voor de aansluiting van gemeenten in 2014 op de 
trekkingsrechten voor de Jeugdwet is het gebruik van het 
bsn evenmin geregeld. Het verdient aanbeveling daartoe 
de Wet op de jeugdzorg (evt. via de Wet gebruik 
burgerservicenummer in de jeugdzorg) alsnog aan te 
passen met terugwerkende kracht om de opstart in 2014 
van de relatie SVB - gemeente voor wat betreft de 

Jeugdwet te regelen. 

Het voorstel Wet gebruik bsn in de jeugdzorg (33674) dat 
op 18 februari 2014 door de Eerste Kamer is aangenomen, 
regelt wel het gebruik van het bsn door zorgaanbieders, 
maar noemt niet de SVB.). Het ontbreken van de expliciete 
vermelding van de SVB in de Jeugdwet valt op, maar 
maakt de verwerking van het bsn door de SVB niet 
onrechtmatig. Op grond van de Wet algemene bepalingen 
burgerservicenummer is de SVB gerechtigd om het bsn te 
gebruiken. 


VERTROUWELIJK 
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3 

Kan van elk van de 

onder vraag 1.1 en vraag 
1.2 opgevoerde typen 

persoonsgegevens 
worden gesteld dat zij 
beleidsmatig of 
technisch direct van 
belang en onontbeerlijk 
zijn voor het bereiken 

van de 

beleidsdoelstelling? 

Wat zou er precies niet 
inzichtelijk worden als 
ervoor wordt gekozen 
bepaalde gegevens niet 
te verwerken? (Licht 
per te verwerken 
persoonsgegeven toe.) 

Bij de taken als trekkingsrechtuitvoerder zal de SVB 
de gegevens moeten krijgen die nodig zijn om de 
persoon te kunnen identificeren, de hoogte van 
zijn persoonsgebonden budget, de 
aanwendingsrichting van het budget, de partij die 
het budget heeft toegekend, de contracten die de 
cliënt sluit met de hulpverleners en de rekeningen 
van de hulpverleners. Tot de uitvoerende taken 
van de SVB behoren naast het verrichten van de 

betalingen voor persoonsgebonden budgetten ook 
het registreren, adviseren, afdragen van belasting, 
administreren, toetsen op de door het college 
gestelde voorwaarden, controle op wet- en 
regelgeving en het faciliteren van verplicht 
werkgeverschap. Dit brengt met zich dat 
gemeenten de SVB informatie zullen moeten 
verstrekken omtrent de verstrekte 

persoonsgebonden budgetten en dat de SVB aan 
de gemeente rekenschap zal moeten afleggen over 
de uitvoering. 

Het risico bestaat dat meer gegevens worden 
verwerkt dan nodig is voor het doel. 

Het eerst benoemde uitgangspunt van de landelijke 
werkgroep trekkingsrecht bij het opstellen van "De 
informatievoorziening bij trekkingsrechten is : Minimale 
uitwisseling van gegevens. Dat betekent in ieder geval dat 
de SVB geen medische en stafrechtelijke 
persoonsgegevens moet verwerken. In de Jeugdwet is aan 
het trekkingsrechtensysteem minder aandacht gegeven 
dan in de later ingediende WMO 2015. Zie voor een 
uniformeringsslag daarom de regeling en opmerkingen bij 
de relatie SVB - gemeente voor de WMO 2015. 
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4 

Kan als het gaat om 

gevoelige 

persoonsgegevens 

hetzelfde beleidseffect 

of technisch resultaat 
worden bereikt op een 
van de volgende wijzen: 
(a) door 

(gecombineerd) gebruik 
van normale 
persoonsgegevens, (b) 
door gebruik van 
geanonimiseerde of 
gepseudonimiseerde 
gegevens? 

Ja, in de gegevensuitwisseling met de jeugdige of 
zijn ouder moet worden afgezien van het 
uitwisselen van medische en strafrechtelijke 
gegevens. Met het oog op de integrale benadering 
van het pgb dat uit verschillende componenten kan 
bestaan (WLZ, WMO 2015, Jeugdwet en eventuel 
de Zorgverzekeringswet) is gebruik van het BSN 
aangewezen. 


Voor de onderhavige gegevensuitwisseling kan een 
zorginhoudelijk en strafrechtelijk deel worden gemist. Dat 
ligt ook besloten in art. 2.6.2 WMO 2015. Via een nog op 
te nemen delegatiemogelijkheid in de Jeugdwet cf. de 

WMO 2015 (zie 2e hiervoor) kan dat worden verduidelijkt. 
Zie 3 hiervoor wat betreft de noodzakelijke 
uniformeringslag en betrek daarbij wat betreft 
gepseudonimiseerde gegevens de toelichting op bijv. 
artikel 4.4.1, tweede lid, WMO 2015. 


VERTROUWELIJK 
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5 

In welk breder wettelijk, 
beleidsmatig of 
technisch kader wordt 

het voorziene 
beleid/databestand/inf 
ormatiesysteem 
ontwikkeld en wat voor 

soort(en) 

verwerking(en) van 
persoonsgegevens gaan 

hiervan deel uitmaken 
bij het voorziene 
traject? 

Wordt hierbij gebruikt 
gemaakt van (nieuwe) 
technologie of 
informatiesystemen? 

De Jeugdwet komt voort uit de wens de 
verantwoordelijkheid voor het voorkomen van, de 
ondersteuning, hulp en zorg bij opgroei- en 
opvoedingsproblemen, psychische problemen en 
stoornissen, de uitvoering van de 
kinderbeschermingsmaatregelen en de 
jeugdreclassering bij de gemeente te beleggen, om 
te komen tot betere samenwerking van 
hulpverleners rond gezinnen, eerdere 
ondersteuning bij opgroei- en 
opvoedingsproblemen, psychische problemen en 
stoornissen, hulp op maat en meer ruimte voor 
professionals en tot het demedicaliseren, 
ontzorgen en normaliseren van de jeugdsector, 
waarbij het uitgangspunt is dat de 
verantwoordelijkheid voor het gezond en veilig 
opgroeien van jeugdigen allereerst bij de ouders en 
de jeugdige zelf ligt; de Jeugdwet kent een 
trekkingsrechtensysteem voor het pgb dat voor 
2015 moet worden afgestemd op de systemen van 
de WLZ, de WMO 2015 en eventueel de 
Zorgverzekeringswet. 

De SVB past wat betreft het nieuwe pgb- 
trekkingsrechtensysteem ook in relatie met 
gemeenten beproefde state of the art technologie 
en informatiesystemen toe. 

Het beleidsmatig kader kan te omvangrijk zijn. Drie 
decentralisaties, meerdere wetten, meerdere 
visies en zeer veel ketenpartijen maken het lastig 
om grip te krijgen op de informatiehuishouding. 

Ook voor de pgb's ten laste van de Jeugdwet geldt dat het 
in de meerjarenaanpak draait om het als een 
samenhangend geheel ontwikkelen, inrichten, beheren en 
onderhouden 

van kaders waaraan getoetst kan worden of afspraken, 
convenanten, standaarden, registers, knooppunten en 
gegevenswoordenboeken (nog) 

voldoen aan de eisen die gesteld worden om de publieke 
belangen rondom zorgbrede informatiestromen te borgen. 
(Kamerbrief 32 620 nr 93) 

14 

II 


Doelbinding, koppeling, kwaliteit en profilering 
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1 

Hebt u het/de 
specifieke doel(en) 
waarvoor u de 

persoonsgegevens gaat 

verwerken in detail 
vastgesteld? Geldt 
hiervoor één en 
hetzelfde specifieke 
doel? 

Het doel van de invoering van pgb- 
trekkingsrechten en de bijbehorende 
gegevensuitwisseling is een robuuste opzet van het 
wettelijke recht op pgb vorm te geven door 1) de 
samenhang in het pgb te bevorderen door 
uniformering, 2) de administratieve last voor de 
budgethouder te verminderen en 3) fouten, fraude 
en oneigenlijk gebruik tegen te gaan. 

Als persoonsgegevens niet voor welbepaalde, 
uitdrukkelijk omschreven en gerechtvaardigde 
doeleinden worden verzameld is de verwerking 
onrechtmatig. 

De wijze waarop fraude en oneigenlijk gebruik wordt 
bestreden, is nog niet in detail vastgesteld omdat door de 
gemeenten nog verordeningen moeten worden 
vastgesteld waarin de aanpak wordt vastgelegd. Er zijn 
bovendien nog veel relevante AMvB's onderweg met de 
WMO 2015 als basis. Tenslotte is niet duidelijk wat de 
gemeente en wat de SVB in deze aanpak gaan doen. 


VERTROUWELIJK 
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2 

Gaat het bij het 
project/systeem om 
gebruik van nieuwe 

persoonsgegevens voor 
een bestaand doel, of 

bestaande doelen 

binnen al bestaande 
systemen? (scenario 
toevoeging 

nieuwe 

persoonsgegevens). 

Zowel de doelen als de systemen en het kader 
worden uitgebreid. 




VERTROUWELIJK 
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3 

Gaat het bij het 
project/systeem om het 
nastreven van 

nieuwe/aanvullende 
doeleinden door 

bestaande 

persoonsgegevens, of 
verzamelingen daarvan, 
te gebruiken, 
vergelijken, delen, 
koppelen of anderszins 

verder te verwerken? 
(scenario toevoeging 
doeleinden). 

Zo ja, hebben alle 
personen/instanties/sys 
temen die betrokken 
zijn bij de verwerking 
dezelfde doelstelling 
met de verwerking van 
de desbetreffende 
persoonsgegevens of is 
daarmee spanning 
mogelijk gelet op hun 
taak of hun belang? 

Gelden dezelfde doelen 
voor het hele proces? 

Zie 1 hiervoor. 


Bij deze verwerking is alleen de SVB betrokken. 


VERTROUWELIJK 
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4 

Indien u positief hebt 
geantwoord op vragen 
11.2 of 11.3, hoe wordt 
een dergelijk 
voorgenomen gebruik 
(d.w.z. gebruik van 
nieuwe 

persoonsgegevens in 
bestaande systemen of 
van bestaande 

persoonsgegevens voor 

nieuwe doeleinden) 
gemeld aan: (a) de 
functionaris voor de 
gegevensbescherming, 
of (b) het CBP indien er 
geen FG is? 

a. De SVB (en dus ook het servicecentrum voor het 
pgb) beschikt (nog) niet over een FG. b.bij het CBP 
zijn geen meldingen gedaan inzake verwerkingen 
van persoonsgegevens van budgethouders. 

Een niet gemelde verwerking is in principe 
onrechtmatig. 

Ons advies is om bij het CBP zo snel mogelijk melding te 
maken van de huidige verwerking van de pgb-gegevens en 
ook zo snel mogelijk te zorgen voor de aanstelling van 

een FG. 

19 

5 

Indien u positief 
geantwoord hebt op 
vragen 11.2 of 11.3, welke 
(nadere) controles op 
een dergelijk gebruik 
(d.w.z. gebruik van 
nieuwe 

persoonsgegevens in 
bestaande systemen of 
van bestaande 

persoonsgegevens voor 
nieuwe doeleinden) zijn 
voorzien? 

In het wetsvoorstel is toezicht door het college 

voorzien. 

Het risico bestaat dat onvoldoende maatregelen 
worden genomen die een rechtmatige, behoorlijke 
en zorgvuldige verwerking van persoonsgegevens 
borgen en een onnodige verzameling van 
persoonsgegevens voorkomen. 

Op dit moment moet nog veel geregeld voor de beoogde 

situatie in 2015. 


VERTROUWELIJK 
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6 

Welke periodieke en 

incidentele controles 
zijn voorzien om de 
juistheid, 

nauwkeurigheid en 

actualiteit van de in het 

beleidsvoorstel, 

wetsvoorstel of 
overheids ICT-systeem 

verwerkte 

persoonsgegevens na te 
gaan? 

In hoofdstuk 8 van de Jeugdwet is planvorming, 
regelgeving en verantwoording op gemeentelijk 
niveau vastgelegd. 


Ook op dit punt verdient uniformiteit met de WMO 2015 
aandacht 

21 

7 

Zullen de 

verzamelde/verwerkte 

persoonsgegevens 

gebruikt worden om het 
gedrag, de 
aanwezigheid of de 
prestaties van mensen 
in kaart te brengen 
en/ofte beoordelen 
en/ofte 

voorspellen? Zijn de 

betrokkenen daarvan 
op de hoogte? 

Zijn de gegevens die 
hiervoor worden 
gebruikt, afkomstig uit 
verschillende 
(eventueel externe) 
bronnen en zijn zij 
oorspronkelijk voor 
andere doelen 

vprzampld?_ 

In beginsel niet maar de aanpak van fraude en 
oneigenlijk gebruik moet nog nader worden 
uitgewerkt. Mogelijk moet de vraag dus te zijner 
tijd met ja worden beantwoord. 

Het risico bestaat dat betrokkene onterecht in 
aanmerkelijke mate wordt getroffen door 
besluiten genomen op grond van gegevens vanuit 
verschillende aanbieders met ieder hun eigen 

context. 

Het risico bestaat dat meer gegevens worden 
verwerkt dan nodig voor het doel. 

Het risico bestaat dat persoonsgegevens verder 
worden verwerkt op een wijze die niet verenigbaar 
is met de doeleinden waarvoor ze zijn verkregen. 

Het verdient aanbeveling de doelbinding op het punt van 
bestrijding van fraude en oneigenlijk gebruik in de 
gemeentelijke verordening uitgebreid uit te werken. 


VERTROUWELIJK 
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8 

Wordt bij deze 
analyse/beoordeling/vo 
orspelling gebruik 
gemaakt van 
vergelijking van 
persoonsgegevens die 
technisch 

geautomatiseerd is 
(d.w.z. niet door 
mensen zelf wordt 
uitgevoerd)? 

Zo ja, hoe wordt 
geregeld dat, indien dit 
geautomatiseerde 
proces tot een 
beoordeling of 
voorspelling over een 
bepaalde persoon leidt, 
hierop pas concrete 

actie wordt 

ondernomen na 

tussenkomst en 
(tweede) controle van 
(menselijk) personeel? 

Dit kan nu nog niet worden beoordeeld. Zie 7 
hiervoor. 

Het risico bestaat dat betrokkene onterecht in 
aanmerkelijke mate wordt getroffen door 
besluiten die geautomatiseerd genomen worden 
zonder menselijke tussenkomst. 

Het gevaar van profiling ligt bij de Jeugdwet-processen niet 
voor de hand. Zie ook 1.4 met betrekking tot 
gepseudonimiseerde gegevens. 
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III 


Betrokken instanties/systemen en verantwoordelijkheid 


VERTROUWELIJK 
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1 

Welke interne en 

externe instantie(s) 
en/of systemen is/zijn 
betrokken bij de 
voorziene verwerking in 

elk van de onder 1.5 

onderscheiden fasen? 
Welke verstrekkers zijn 
er en welke 

ontvangers? Welke 
bestanden of 

deelbestanden en welke 

infrastructuren? 

De leverancier van het startbericht in de 
gegevensuitwisseling Trekkingsrechten" is de 
gemeente die het pgb heeft toegekend. Vervolgens 
worden er deelbestanden in het kader van het 
beheer van het pgb verwerkt. 

Het risico bestaat dat beperkte transparantie over 
ontvangers en verstrekkers van gegevens, alsmede 
gebruikte infrastructuren en deelbestanden leidt 
tot minder zekerheid omtrent de betrouwbaarheid 

van gegevens. 

De betrokkene verliest na eenmalige verstrekking 
de grip op zijn persoonsgegevens, ook omdat 
sprake is van meerdere (voor de betrokkene niet- 
transparante) gegevensbronnen. Hierdoor ontstaat 
het risico dat de betrokkene gevolgen ondervindt 
van onjuist genomen beslissingen, bijvoorbeeld 
omdat deze zijn gebaseerd op verouderde of 
onjuiste gegevens. 

De informatievoorziening richting cliënt in 2015 moet nog 
worden uitgewerkt. Gezien de doelgroep vergt dit een 
inspanning om zo duidelijk mogelijk te communiceren over 
het trekkingsrechtensysteem en de acties die daarbij van 
de cliënt worden verwacht. 
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2 

Is (in ieder stadium) 
duidelijk wie 
verantwoordelijk is voor 
de verwerking van de 
persoonsgegevens? Zo 
ja, is deze persoon of 
organisatie daarop 

voldoende voorbereid 
en geëquipeerd wat 
betreft de nodige 
voorzieningen en 
maatregelen, 
waaronder middelen, 
beleid, taakverdeling, 
procedures en intern 

toezicht? 

Ja, de voorbereiding van de uitvoering door de SVB 
vindt in 2014 gefaseerd plaats via pilots cf. de 
aangepaste Regeling subsidies AWBZ. De fasering 
is erop gericht in 2015 het gehele systeem 
operationeel te hebben. De SVB bereidt de 
technische voorbereiding van de trekkingrechten 
vanuit de Jeugdwet parallel aan die van de WLZ 
voor. Dit heeft echter nog geen formele grondslag. 

Het risico bestaat dat de SVB onvoldoende 
voorbereid en geëquipeerd is wat betreft de 
nodige voorzieningen en maatregelen en dat als 
gevolg daarvan de gegevensverwerking 
onrechtmatig is en/of dat betrokkenen gevolgen 
ondervinden van onterechte beslissingen. 

De Sociale Verzekeringsbank is in het 
trekkingsrechtensysteem de verantwoordelijke in de zin 
van de Wet bescherming persoonsgegevens voor de 
verwerking van persoonsgegevens die nodig zijn bij de 
betalingen voor jeugdigen of hun ouders. 


VERTROUWELIJK 
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3 

Wie binnen uw 

organisatie, en elk van 
de andere betrokken 

organisaties, krijgen 
precies toegang tot de 
persoonsgegevens? 
Bestaat de kans dat bij 
het gebruik ervan de 
gegevens ter 
beschikking komen van 
onbevoegden? 

Deze vraag is in het wetsvoorstel niet beantwoord. 

Het niet opnemen van dit element vormt een risico 
voor de rechtmatigheid van de verwerking. 

Het verdient aanbeveling dat de gemeentelijke FG's in 

2014 zorgdragen voor een beschrijving van de beoogde 
beveiliging van het trekkingsrechtensysteem in 2015 en 
dat zij zich vergewissen van tijdige realisatie van de 
beoogde beveiliging. 
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4 

Geldt voor een of meer 

van de betrokken 

instanties een 

beperking van de 
mogelijkheid om 
persoonsgegevens te 
verwerken als gevolg 

van 

geheimhoudingsverplic 
htingen (in verband met 
functie/wet)? 

In de zorgsector geldt een uitgebreid web van 
geheimhoudingsverplichtingen. Voor de 
onderhavige uitwisselingsrelatie is van belang dat 
medische gegevens en strafrechtelijke gegevens 
niet worden uitgewisseld (vgl. art. 8.1.8 Jeugdwet). 

Het risico is hier dat de SVB meer gegevens 
verwerkt dan betaalgegevens bij de formele 
controle van betaalgegevens. 

Het verdient aanbeveling nauwkeuriger vast te leggen dan 
in artikel 8.1.8 Jeugdwet is gebeurd welke 
persoonsgegevens de SVB mag verwerken ten behoeve 
van het trekkingsrechtensysteem. 
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5 

Zijn alle stappen van de 
verwerking in de zin van 
soorten gegevens en 
uitwisselingen, in kaart 
gebracht ofte brengen, 
zodanig dat daardoor 
voor de betrokkenen 
inzichtelijk is bij wie, 
waarom en hoe de 

persoonsgegevens 

worden verwerkt? 

Ja, in het Plan van Aanpak Invoering 
Trekkingsrechten systeem PGB (Voor AWBZ/WLZ, 
Wmo en Jeugdwet) van de SVB in opdracht van het 
Ministerie van VWS. Dit is echter een intern 
document, dus voor betrokkenen is niet inzichtelijk 
bij wie, waarom en hoe de persoonsgegevens 
worden verwerkt. 

VER 

Wanneer dit niet duidelijk in kaart is gebracht, 
wordt het voor de verantwoordelijke een lastigere 
opgave om in control te zijn en zal hij moeite 
hebben om de informatieplicht goed te vervullen. 

TROUWELIJK 

Zie 4. hiervoor. 
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6 

Zijn er beleid en 
procedures voorzien 
voor het creëren en 
bijhouden van een 
verzameling van de 
persoonsgegevens die u 
wilt gaan gebruiken? 

Zo ja, hoe vaak en door 
wie zal de verwerking 
worden gecontroleerd? 

Omvat de verzameling 
een verwerking die 

namens u wordt 
uitgevoerd 

(bijvoorbeeld door een 
onderaannemer)? 

Dit blijkt niet uit dit wetsvoorstel. Voor een 
beschrijving van de huidige situatie zie de 
rechterkolom. 


Uitwisseling van gegevens mag alleen geschieden als dat 
wettelijk is geregeld, als dat noodzakelijk is voor de 
uitoefening van een publiekrechtelijke taak of als de 
betrokkene toestemming heeft gegeven. De naleving van 
de privacyregels is geïntegreerd in het 
informatiebeveiligingsbeleid van de SVB en de 
bijbehorende organisatie. Daarmee is ook de controle op 
die naleving verankerd. (SVB Jaarverslag 2012). Voor de 
beoogde situatie in 2015 zijn er echter nog onzekerheden. 
Zie IV.1 hierna. 
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7 

Is er sprake van 
overdracht van 

persoonsgegevens naar 
een (overheids) 

instantie buiten de 
EU/EER? Heeft dit land 

een niveau van 
gegevensbescherming 
dat als passend is 
beoordeeld door een 

besluit van de Europese 
Commissie of de 

Minister van Veiligheid 

en Justitie? Worden 
daarbij alle of een 
gedeelte van de 
persoonsgegevens 

doorgegeven? 

Nee. 
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IV 


Beveiliging en bewaring/vernietiging VtR 1 ROUWtLIJK 
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1 

Is het beleid met 

betrekking tot 
gegevensbeveiliging 
binnen uw organisatie 
op orde? Zo ja, 
wie/welke afdeling(en) 
is/zijn binnen de 
organisatie 

verantwoordelijk voor 
het opstellen, 
implementeren en 

handhaven hiervan? Is 
dit beleid specifiek 
gericht op 

gegevensbescherming 
en gegevensbeveiliging 
? 

Dit staat niet in het wetsvoorstel, maar hier kan 
wat betreft de SVB wel naar de huidige situatie in 
de rechterkolom gekeken worden. Uniformiteit 
met artikel 2.6.2, tweede lid, WMO 2015 
ontbreekt echter omdat in artikel 8.1.8 Jeugdwet 
niet is voorzien in de mogelijkheid van invulling via 
een AMvB. 

Het niet opnemen van dit element vormt een risico 
voor de rechtmatigheid van de verwerking. 

De SVB ontwikkelt zich steeds verder tot een open 
netwerkorganisatie. De kwetsbaarheid en 
(keten)afhankelijkheid van de SVB neemt daardoor toe, in 
gelijke tred met externe dreigingen, met name op gebied 
van cybercrime. De impact van eventuele gevolgen zal 
daardoor ook groter worden. Om die reden is in de 
tweede helft van 2012 een herijking gestart van het 
informatiebeveiligingsbeleid van de SVB. (SVB jaarverslag 
2012). Voor informatiebeveiling volgt de SVB de ISO 27001 
norm volgens de roadmap invoering SVB 
Trekkingsrechtensysteem per 1-1-2014 versie 3.0. Zie 
echter ook III.3. 
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2 

Indien (een deel van) de 
verwerking bij een 
bewerker plaatsvindt, 
hoe draagt u zorg voor 
de gegevensbeveiliging, 
en het toezicht daarop, 
bij die bewerker? 

Niet van toepassing. 




VERTROUWELIJK 
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3 

Welke technische en 

organisatorische 
beveiligingsmaatregelen 
zijn getroffen ter 
voorkoming van niet- 
geautoriseerde of 
onrechtmatige 
verwerking/misbruik 
van (a) gegevens die in 
een geautomatiseerd 
format staan (bv. 

wachtwoord- 
bescherming, 
versleuteling, encryptie) 
en (b) gegevens die 
handmatig zijn 
opgetekend bv. sloten 
op kasten)? 

Is er een hoger 
beschermingsniveau om 
gevoelige 

persoonsgegevens te 
beveiligen? 

De SVB heeft in beginsel een state of the art 
beschermingsniveau maar in het wetsvoorstel 
wordt aan dit onderwerp geen aandacht besteed. 

Het niet opnemen van dit element vormt een risico 
voor de rechtmatigheid van de verwerking en voor 
de beveiliging van de gegevens. 

Een passend beveiligingsniveau gelet op de risico's 
die de verwerking en de aard van te beschermen 
gegevens met zich meebrengen is vereist op basis 
van artikel 13 Wbp. De maatregelen zijn er mede 
op gericht onnodige verzameling en verdere 
verwerking van persoonsgegevens te voorkomen. 

Ontbreken de maatregelen of zijn deze niet goed 
ingeregeld dat worden de risico's op een niet 
passend beveiligingsniveau groter, evenals de 
risico's op onnodige verzameling en verdere 
verwerking van persoonsgegevens. 

Zie IV.1. 


VERTROUWELIJK 
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4 

Welke procedures 
bestaan er in geval van 
inbreuken op 
beveiligingsvoorschrifte 
n, en voor 

het detecteren ervan? 

Is er een 

calamiteitenplan om 
het gevolg van een 

onvoorziene 
gebeurtenis waarbij 

persoonsgegevens 
worden blootgesteld 
aan onrechtmatige 
verwerking of verlies 
van persoonsgegevens 

af te handelen? 

Dit wordt niet expliciet vermeld in het 
wetsvoorstel. Uiteraard zijn algemeen geldende 
voorschriften zoals de meldplicht datalekken van 
toepassing. 

In het geval van een datalek of een andersoortige 
inbreuk op de beveiliging is op basis van de wet 
onvoldoende duidelijk wie waar verantwoordelijk 

voor is. 

Zie IV.1 
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5 

Hoe lang worden de 

persoonsgegevens 

bewaard? Geldt 
dezelfde bewaartermijn 
voor elk van de typen 

van verzamelde 
persoonsgegevens? Is 
het project 

onderworpen aan enige 
wettelijke/sectorale 
eisen met betrekking 
tot bewaring? 

In de WMO 2015 gelden bewaartermijnen cf. art. 
4.3.4, eerste lid, en 4.3.5. In de Jeugdwet 
ontbreken overeenkomstige bepalingen. 


Het verdient aanbeveling ook hier conformiteit met de 

WMO 2015 na te streven. 


VERTROUWELIJK 
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6 

Op welke beleidsmatige 
en technische gronden 
is deze termijn van 
bewaring vereist? 

Zie IV.5 
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7 

Welke maatregelen zijn 
voorzien om de 

persoonsgegevens na 
afloop van de 
bewaartermijn te 
vernietigen? Worden 
alle persoonsgegevens, 
inclusief log-gegevens, 
vernietigd? Is er 
controle op de 
vernietiging, en door 
wie? 

Zie IV.5 
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V 


Transparantie en rechten van betrokkenen 

40 


1 

Is het doel van het 

verwerken van de 

gegevens bij de 
betrokkenen bekend of 

kan het bekend 
gemaakt worden? Wat 
is de procedure om 
betrokkenen indien 
nodig te informeren 
over het doel van de 

verwerking van hun 
persoonsgegevens? 

Het doel is bekend op basis van de wet en de 
communicatie over de gewijzigde wetgeving door 
de gemeenten en de SVB Zie bijv. de 

Informatiekaart Persoonsgebonden budget (pgb) 
van het Transitiebureau WMO van februari 2014. 




VERTROUWELIJK 
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2 

Indien u de 

persoonsgegevens 

direct van de 

betrokkenen verkrijgt, 
hoe stelt u hen van uw 

identiteit en het doel 
van de verwerking op 
de hoogte vóór het 

moment van 

verwerking? 

De SVB verkrijgt de persoonsgegevens niet direct 
van de jeugdige of zijn ouders. 

Het risico bestaat dat de cliënt niet in staat wordt 
gesteld zijn rechten goed uit te kunnen oefenen. 

De voorbereiding bij de gemeenten zal nog de nodige tijd 
vergen. Eerst vanaf 1 januari 2015 worden alle pgb's van 
de Jeugdwet overgemaakt aan de SVB. 
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3 

Indien u de 
persoonsgegevens via 

een andere 
(overheids)organisatie 
verkrijgt, hoe zullen de 
betrokkenen van uw 

identiteit en het doel 
van de verwerking op 
de hoogte worden 
gesteld op het moment 
van verwerking? 

De toekenningsbeschikking wordt tegelijk aan de 
cliënt en de SVB toegestuurd. 




VERTROUWELIJK 
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4 

Indien u toestemming 
tot verwerking van 
persoonsgegevens aan 

de betrokkene vraagt 
(opt-in), kan de 
betrokkene deze 
toestemming dan op 
een later tijdstip weer 
intrekken (opt-out)? Bij 
een weigering 
toestemming te geven, 
of bij een dergelijke 
intrekking, wat is dan 

de 

implicatie voor de 

betrokkene? 

Anders dan de WMO 2015 bevat de Jeugdwet geen 
expliciet regeling op dit punt. 


Het verdient aanbeveling ook hier conformiteit met de 

WMO 2015 na te streven. 
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5 

Via welke procedure 
hebben betrokkenen de 

mogelijkheid zich tot de 
verantwoordelijke te 
wenden met het 

verzoek hen mede te 

delen of hun 

persoonsgegevens 

worden verwerkt? 

Hoe worden derden, die 
mogelijk bedenkingen 
hebben tegen een 
dergelijke mededeling, 

in 

de gelegenheid gesteld 
hun zienswijze te 
geven? 

Anders dan de WMO 2015 bevat de Jeugdwet geen 
expliciet regeling op dit punt. 


Het verdient aanbeveling ook hier conformiteit met de 
WMO 2015 na te streven. 


VERTROUWELIJK 
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6 

Hoe kan een verzoek 

van een betrokkene tot 
verbetering, aanvulling, 
verwijdering of 
afscherming van 
persoonsgegevens in 
behandeling worden 
genomen? 

Anders dan de WMO 2015 bevat de Jeugdwet geen 
expliciet regeling op dit punt. 


Het verdient aanbeveling ook hier conformiteit met de 

WMO 2015 na te streven. 


VERTROUWELIJK 










